家電・モバイル ボリュームゾーンの最新動向を知る
 

第1回:ファジングで効率よく脆弱性を検出するためのポイント

澤田 迅=情報処理推進機構(IPA)
2013/07/25 00:00
印刷用ページ

 近年、パソコン以外の製品のソフトウエアに「脆弱性」と呼ばれるセキュリティー上の問題が見つかる事例が増えている。この脆弱性が悪用されると最悪の場合、のようなデータの破壊や情報漏えい、遠隔操作といった被害につながる可能性がある(図1)。製品の利用者が被害に遭ってしまわないように、出荷の前段階で製品に残る脆弱性の数を低減させてセキュリティー上の品質を高める必要がある。また、製品出荷後に脆弱性が見つかった場合には、製品出荷前に対策するよりもコストがかかり対策が困難になる場合もある。このため、できる限り製品出荷前に脆弱性を検出し、対策を施す必要がある。この脆弱性の検出に焦点をあてたテストをセキュリティー・テストという。その手法の一つに「ファジング」がある。

図1 脆弱性の悪用

あり得ない入力値を代入して脆弱性を探す

  ファジングとは、簡単に言えば対象機器が持つソフトウエア・インタフェースの「入力値」に注目するセキュリティー・テストである(図2)。このため、入力を受け付ける機能を持つものであれば、汎用OS上で動作するアプリケーション・ソフトウエア(アプリ)からOSとアプリが混然一体となった組み込み機器に至るまで、様々なものに幅広く適用できるセキュリティー・テストである。

図2 ファジングの概要
[画像のクリックで拡大表示]

 ファジングは仕様書通りに動作しているかを確認するようなテストでは検出が困難な「脆弱性」を検出できる。例えば、英語のアルファベットの入力だけを想定しているソフトウエアに対して、次々にあらゆる文字コードが混じったデータを入力すれば、英語のアルファベットの入力では確認しえなかった脆弱性(例:書式文字列の問題、http://jvndb.jvn.jp/ja/cwe/CWE-134.htmlなど)を検出できる可能性があるといった具合だ。

 ではファジングはどのように実施するのか。ファジングは大量のデータを送り込むテストのため、手動で実施するには限界がある。このためファジングは「ファジング・ツール」と呼ばれる専用のツールを用いて実施するのが一般的である。ファジング・ツールを使ったテストは、ツールによって自動化されているものが多い。

 また、ファジング・ツールは商用製品をはじめ、オープンソース・ソフトウエアやフリー・ソフトウエアのツールが数多く存在している。

【9月18日(金)開催】
高精細映像時代に向けた圧縮符号化技術の使いこなし方
~H.265/HEVCの基礎から拡張・応用技術とその活用における心得~


本セミナーでは高品質、高信頼、高効率に製品化するために標準化された高圧縮符号化技術、H.265/HEVCについて、その基盤となった符号化技術の進展から映像・製品特性に適切に圧縮符号化技術を使いこなす上で知っておきたい基本とH.265/HEVCの標準化、実装、製品化に向けた基礎及び拡張技術の理解と活用の勘所等について詳解します。詳細は、こちら
会場:中央大学駿河台記念館 (東京・御茶ノ水)
コメントする
コメントに関する諸注意(必ずお読みください)
※コメントの掲載は編集部がマニュアルで行っておりますので、即時には反映されません。

マイページ

マイページのご利用には日経テクノロジーオンラインの会員登録が必要です。

マイページでは記事のクリッピング(ブックマーク)、登録したキーワードを含む新着記事の表示(Myキーワード)、登録した連載の新着記事表示(連載ウォッチ)が利用できます。

協力メディア&
関連サイト

  • 日経エレクトロニクス
  • 日経ものづくり
  • 日経Automotive
  • 日経デジタルヘルス
  • メガソーラービジネス
  • 明日をつむぐテクノロジー
  • 新・公民連携最前線
  • 技術者塾

Follow Us

  • Facebook
  • Twitter
  • RSS

お薦めトピック

日経テクノロジーオンラインSpecial

記事ランキング